La imparable evolución tecnológica está transformando los escenarios tradicionales en digitales en todos los ámbitos de nuestra vida. La sanidad como pilar fundamental de la sociedad actual está en continua renovación. Es inevitable y necesaria la adaptación a las nuevas realidades.
Hemos sido testigos de cómo las clínicas, hospitales y centros médicos pasaban de utilizar una historia clínica en papel a tener un software médico, muchas veces en cloud. Hemos visto la transición entre la obligatoriedad de acudir a la consulta médica de manera presencial, aunque sólo fuera para renovar una receta, a la videoconsulta.
Los avances tecnológicos utilizados adecuadamente pueden ofrecernos grandes beneficios, como el ahorro de tiempo al no tener que acudir presencialmente a la clínica u hospital. La flexibilidad, la mejora de la comunicación, etc. Sin embargo, la digitalización de los centros sanitarios supone también grandes retos. Uno de los riesgos asociados a la digitalización de los flujos entre clínicas, hospitales y pacientes está asociado a la seguridad.
La seguridad en los datos de salud es uno de los puntos que requieren mayor atención en la digitalización de una clínica, hospital o centro médico. El resaltar la seguridad no es solo por la importancia que tiene en el tratamiento de los datos de salud, sino también de la falta de atención que se le ha prestado en la digitalización de la sanidad.
En esta entrada del blog vamos realizar unas reflexiones básicas que cualquier clínica, centro médico u hospital debe tener en mente.
La seguridad dentro de la clínica u hospital, se puede referir a diferentes aspectos, pero fundamentalmente está relacionado con la securización de la información sanitaria.
El Reglamento General de Protección de Datos (GDPR) establece para los datos de salud un nivel de protección alto. El GDPR define como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (artículo 4.15).
En este sentido cualquier entidad (clínicas, hospitales, centros médicos, residencias, etc.) que tenga acceso a datos de salud debe cumplir lo establecido en el GDPR.
Aspectos a tener en cuenta la seguridad en un software de gestión médica:
1.- Dónde se almacenan los datos de salud de los pacientes.
Actualmente la mayoría de los programas médicos ofrecen el nivel de seguridad necesario para cumplir con el GDPR. Muchas veces la cuestión no está en si el software de gestión médica dispone de los mecanismos necesarios para garantizar la seguridad de los datos de salud, sino en si la configuración del programa de gestión médica es la adecuada.
En cualquier caso, en los softwares médicos pago por uso la empresa que ofrece el servicio se debe comprometer a mantener los datos securizados según la normativa vigente. Para nuestra clínica u hospital, este punto debe ser tan sencillo como llegar a un acuerdo con la empresa proveedora de software clínico donde aparezca la seguridad en el almacenamiento de datos explícitamente en el contrato.
El hecho de que el software clínico esté en la nube, hace que no sólo se deba tener en cuenta la seguridad en el propio lugar de almacenamiento, sino que también es imprescindible tener la seguridad adecuada en los canales de comunicación de los datos de salud.
2.- Cómo se transfieren los datos de salud de los pacientes.
Los datos de salud si están en formato digital se pueden transferir digitalmente por internet. Aquí es fundamental contar con conexiones securizadas. Las direcciones web de acceso al software clínico deben utilizar “https” mejor que solo “http”. La empresa proveedora del software de gestión médica deberá facilitar los certificados y protocolos de encriptación adecuados para que información de salud de nuestros pacientes tenga el nivel de seguridad exigido.
En el punto 1 y el punto 2 hemos visto cómo, si hemos contratado un software de gestión clínica en cloud, podemos delegar en la empresa proveedora del software tanto el almacenamiento del dato, como la encriptación y certificaciones. Sin embargo, si nuestro software médico no está en cloud estos aspectos los debe gestionar nuestra clínica, hospital o centro médico. Atendiendo al cumplimiento del reglamento para la protección de datos de salud, desde este blog recomendamos que el software de gestión clínica que el hospital o centro médico vaya a contratar esté en cloud.
En cuestiones de seguridad tenemos por un lado quien mantiene la infraestructura para alojar los datos de salud y el software médico y por otro quiénes acceden a los datos de salud. Y en este sentido, es en el punto 3 donde surgen la mayoría las incidencias de seguridad.
3.- Qué personas deben tener acceso a estos datos y en qué canales.
Cuando pensamos en qué grupos de personas pueden acceder a los datos de salud, inmediatamente podemos identificar a estos tres grupos
a.- Personal empleado de la clínica u hospital (sanitario o administrativo).
b.- Personal técnico
c.- Pacientes.
Tal y como comentábamos en el punto 1, el software clínico se suele poder configurar para hacer grupos de usuarios con diferentes permisos, por ejemplo, el personal sanitario tendrá acceso a todas las historias clínicas, y el personal administrativo solo a datos para la gestión del paciente. El paciente a su vez podrá ver parte de su historia clínica y el personal técnico podrá mantener el programa médico accediendo a los datos, pero viéndolos encriptados o disociados del paciente.
Sin duda, cuantos mayores sean las posibilidades en la configuración del software médico, más robusto será el sistema de seguridad que protege los datos.
Aunque como decíamos, las incidencias surgen en el tratamiento de la información, por ejemplo, cuando un especialista imprime una historia clínica y la deja sobre un mostrados, o sobre su mesa y pasa el siguiente paciente. En este caso concreto recomendamos la digitalización total de las historias clínicas para que el programa médico pueda ofrecer la trazabilidad de acceso a la historia clínica, por ejemplo.
Por parte del paciente puede ocurrir que se conecte en un ordenador compartido y deje el navegador abierto, que acceda desde una conexión no segura (el proveedor del software médico en cloud no debería permitir una conexión no segura y si el dato se almacena dentro de la clínica u hospital es fundamental securizar los accesos).
En este punto es importante darse cuenta de que la clave no está sólo en poner las medidas de seguridad necesarias para proteger los datos de salud, sino que está en formar a las personas que acceden a los datos de salud del paciente en las acciones que pueden o no realizar sobre estos datos y en dónde están los riesgos de seguridad y enseñarles a prevenir estos riesgos.
En esta entrada al blog, hemos introducido algunas reflexiones básicas a tener en cuenta en cuanto a la seguridad en la contratación de un programa de gestión médica. Sin embargo, la seguridad es un tema de suma importancia y amplitud, por lo que en nuestra próxima entrada a este blog de Omi360 ofreceremos pautas más específicas sobre seguridad.
Esperamos que esta entrada general sobre seguridad os ayude a darle a la seguridad la importancia que tiene en el ámbito digital.
Por Rocío Rodríguez
